Cowrie Honeypot na Raspberry Pi

Publikováno , autor:
Cowrie
Cowrie

Cowrie je open-source honeypot napsaný v jazyce Python, který emuluje SSH a Telnet servery. Slouží k zaznamenávání neoprávněných přístupů a sběru informací o útocích v reálném čase.
Cowrie umožňuje sledovat chování útočníků – ukládá zadané příkazy, přenášené soubory a přihlašovací údaje. Díky tomu lze analyzovat pokusy o průnik a přizpůsobit bezpečnostní opatření.

Využití Cowrie

Na Raspberry Pi 5 lze Cowrie využít jako lehký, nepřetržitě běžící honeypot uzel, který:

  • zaznamenává SSH/Telnet útoky z internetu nebo lokální sítě,
  • slouží pro vzdělávací a výzkumné účely (např. kybernetická bezpečnost),
  • umožňuje centrální sběr logů z více zařízení,
  • může být napojen na ELK Stack, Splunk, nebo SIEM systémy.

Instalace Cowrie na Raspberry Pi

Aktualizace systému:

sudo apt update && sudo apt upgrade -y
sudo apt install git python3-venv python3-pip python3-dev libssl-dev libffi-dev build-essential -y

Vytvoření uživatele a adresářové struktury

Doporučuje se nespouštět Cowrie pod root účtem:

sudo adduser --disabled-password --gecos "" cowrie
sudo su - cowrie

Stažení Cowrie z GitHubu

git clone https://github.com/cowrie/cowrie.git
cd cowrie

Nastavení Python virtual environmentu.

python3 -m venv cowrie-env
source cowrie-env/bin/activate
pip install --upgrade pip
pip install --requirement requirements.txt

Konfigurace Cowrie

Vytvoř kopii výchozí konfigurace:

cd etc/
cp cowrie.cfg.dist cowrie.cfg

Soubor cowrie.cfg otevři např. pomocí:

nano cowrie.cfg

Zkontroluj nebo uprav následující klíčové sekce:

[honeypot]
hostname = raspberrypi5
listen_endpoints = tcp:22:interface=0.0.0.0
log_path = /home/cowrie/cowrie/var/log/cowrie

Spuštění Cowrie

cd ~/cowrie
bin/cowrie start

Zastavení:

bin/cowrie stop

Ověření stavu:

bin/cowrie status

Logy a data

Veškeré logy a relace se ukládají do:

/home/cowrie/cowrie/var/log/cowrie/

Útočníci si budou myslet, že se přihlásili do skutečného systému, ale veškerá jejich aktivita se zaznamenává.

Pro analýzu lze použít například:

less /home/cowrie/cowrie/var/log/cowrie/cowrie.json

Volitelné rozšíření

  • Integrace s ELK (Elasticsearch + Logstash + Kibana) pro vizualizaci útoků.
  • Odesílání logů na vzdálený SIEM server (např. Wazuh, Splunk).
  • Automatický start po bootu:
sudo nano /etc/systemd/system/cowrie.service
[Unit]
Description=Cowrie SSH Honeypot
After=network.target

[Service]
User=cowrie
ExecStart=/home/cowrie/cowrie/bin/cowrie start
ExecStop=/home/cowrie/cowrie/bin/cowrie stop
Restart=always

[Install]
WantedBy=multi-user.target

Aktivace služby:

sudo systemctl enable cowrie
sudo systemctl start cowrie

Bezpečnostní doporučení

  • Umísti Cowrie do izolované VLAN nebo DMZ.
  • Nepoužívej skutečné SSH porty produkčních serverů.
  • Sleduj a analyzuj logy pravidelně, útoky mohou být časté.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *